Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 3 След.
RSS
Защита информации от инсайдеров с помощью программных средств
 
Обсуждение статьи Защита информации от инсайдеров с помощью программных средств
 
Недостатки рассмотренных систем на основе статической блокировки устройств:
 Не контролируется передача информации в сеть.
 Не умеет отличать секретную информацию от не секретной. Работает по принципу либо все можно, либо ничего нельзя.
 Отсутствует либо легко обходится защита от выгрузки агента.

--- в Zlock в консоли администратора реализован монитор, который регистрирует все изменения в настройках ZLock-клиента. Кроме этого, остановка службы ZService останавливает только логгирование операций, а не блокировку устройств.Блокировка устройств выполнена на уровне драйвера. Т.е. если устройство заблокированно, то оно и останется заблокированным.
С сисетмой ZLock я уже 3 месяца работаю... Много, конечно, неудобного. Но работает она стабильна. А в статье написаны неверные данные.
 
может лучше поробывать Cisco Security Agent ?
 
в Zlock в консоли администратора реализован монитор, который регистрирует все изменения в настройках ZLock-клиента. Кроме этого, остановка службы ZService останавливает только логгирование операций, а не блокировку устройств.Блокировка устройств выполнена на уровне драйвера. Т.е. если устройство заблокированно, то оно и останется заблокированным.

А что будет если выдернуть сетевой кабель, остановить сервис, выгрузить драйвер, скопировать данные, загрузить драйвер и сервис, воткнуть кабель ?
Выгружать,загружать драйвер правкой реестра и ребутом. Если есть возможность проверьте пожалуйста.

Мне просто интересно - кто-нибудь когда-нибудь что-нибудь слышал про этот SecrecyKeeper???
Если искать по "защита информации от кражи", то на первой странице
 
Очевидная проблема в том, что все эти средства более защищают от нечаянной передачи конфиденциальной информации на сторону. Злоумышленника они не останавливают, а только вытесняют на какой-то другой путь, им неподконтрольный.
Например, в случае последнего из рассмотренных продуктов: "Ctrl+C" или "Ctrl+PrtSCr" --> MS Word --> "Ctrl+V" --> принтер --> карман. Или "type z:\confidential\file.doc > c:\myfile.doc"  --> принтер --> факс. И еще масса подобных способов, если лень с экрана на бумажку выписывать или по телефону диктовать. Защита ведь привязана к контейнеру информации (файлу, диску и т.п), а буде информация из него вынута - она оказывается вне поля действия защиты.

(На всякий случай напоминаю, что инсайдер не осуществляет НСД - его доступ к защищаемой информации положен ему по работе. Не положена передача посторонним.)
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
Например, в случае последнего из рассмотренных продуктов: "Ctrl+C" или "Ctrl+PrtSCr" --> MS Word --> "Ctrl+V" --> принтер --> карман. Или "type z:\confidential\file.doc > c:\myfile.doc" --> принтер --> факс.

В случае с последним продуктом этот вариант не прокатит. Файл, в который будет сохранятся секретная информация из буфера будет секретным. Ну а против бумажки и телефона надо административными мерами - телефоны на прослушку, бумажки под роспись, сотрудника СБ за спину.
 
В случае с последним продуктом этот вариант не прокатит. Файл, в который будет сохранятся секретная информация из буфера будет секретным. Ну а против бумажки и телефона надо административными мерами - телефоны на прослушку, бумажки под роспись, сотрудника СБ за спину.
 
Цитата
sormat пишет:
В случае с последним продуктом этот вариант не прокатит. Файл, в который будет сохранятся секретная информация из буфера будет секретным. Ну а против бумажки и телефона надо административными мерами - телефоны на прослушку, бумажки под роспись, сотрудника СБ за спину.
Наверно один из нас неправильно понял возможности продукта, но это не приципиально: достаточно понимания, что те или иные пути все равно существуют.

Вдобавок, в реальной жизни самые страшные тайны настолько компактны ("фирму готовят к продаже", "такими темпами новый продукт раньше лета выйдет", "сделка с испанцами сорвалась", "квалифицированных специалистов практически нет", "в следующем квартале будет объявлен тендер" и т.п.), что выносятся в голове, в каковую никакой прослушки СБ не посадишь. В сущности, информация - это и есть знание, а не файл. В чем и проблема.
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
достаточно понимания, что те или иные пути все равно существуют.
Согласен. Никто не говорит про таблетку от всех болезней, но задача в том чтобы максимально сократить количество этих путей.

Цитата
Вдобавок, в реальной жизни самые страшные тайны настолько компактны ("фирму готовят к продаже", "такими темпами новый продукт раньше лета выйдет", "сделка с испанцами сорвалась" и т.п.), что выносятся в голове, в каковую никакой прослушки СБ не посадишь. В сущности, информация - это и есть знание, а не файл.
Самые страшные может и компактны. Но есть еще информационные продукты - исходники программ, большие схемы, шаблоны документов разработка которых заняла много времени и т.п. В этих случаях технические средства защиты необходимы.
 
Цитата
sormat пишет:
Никто не говорит про таблетку от всех болезней, но задача в том чтобы максимально сократить количество этих путей.
Неправда: задача - усложнить использование. Но это мы сейчас в философию уйдем.
Цитата
sormat пишет:
Но есть еще информационные продукты - исходники программ, большие схемы, шаблоны документов разработка которых заняла много времени и т.п. В этих случаях технические средства защиты необходимы.
Вовсе не исключаю, что для каких-то объектов защиты вышепоименованное ПО подходит - тут уж смотря, что кому угрожает (вообще с этого вопроса и надо начинать, а внедрение каких-то средств уже исходя из ответа). Однако следовало бы правильно обозначать его сферу применения: не защита информации, а защита данных, начиная с определенного объема. Иначе часть покупателей будет введена в заблуждение.
И ведь все равно даже большая схема может быть ценна малюсеньким зерном (удачная находка или наоборот уязвимое звено, которые можно использовать), а оно уносится.
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
Ригель пишет:
Вдобавок, в реальной жизни самые страшные тайны настолько компактны ("фирму готовят к продаже", "такими темпами новый продукт раньше лета выйдет", "сделка с испанцами сорвалась", "квалифицированных специалистов практически нет", "в следующем квартале будет объявлен тендер" и т.п.), что выносятся в голове, в каковую никакой прослушки СБ не посадишь. В сущности, информация - это и есть знание, а не файл. В чем и проблема.

+мильён.
Для остальных угроз бизнес-риски существенно ниже. Все вышесказанное справедливо для торговых компаний.
 
Цитата
А что будет если выдернуть сетевой кабель, остановить сервис, выгрузить драйвер, скопировать данные, загрузить драйвер и сервис, воткнуть кабель ?Выгружать,загружать драйвер правкой реестра и ребутом. Если есть возможность проверьте пожалуйста.
монитор в консоли администратора покажет, что были несанкционировано проведены изменения на той машине. А сетевой кабель вообще тут не причём. Насчёт выгрузки драйвера... смысл в том, что ZLock прикрепляет к каждому устройству свой драйвер и если его выгрузить, то устройство перестаёт работать. Причём не только это устройство, а все..например USB клава и мышь)
 
Цитата
монитор в консоли администратора покажет, что были несанкционировано проведены изменения на той машине. А сетевой кабель вообще тут не причём. Насчёт выгрузки драйвера... смысл в том, что ZLock прикрепляет к каждому устройству свой драйвер и если его выгрузить, то устройство перестаёт работать. Причём не только это устройство, а все..например USB клава и мышь)

дергать сетевой кабель действительно лишнее, протоколы могут писаться локально, а потом при подключении отдаваться на консоль. а насчет выгрузки драйвера - его надо полностью удалить из системы (не только файл), тогда блокировки снимуться
 
и кстати, основная мысль в части про zlock, не то что zlock плохо сделан, а то что неправильно - одного неумения отличить секретную инфу от несекретной более чем достаточно. и для получения наиболее важной части его (и подобных прог) функционала достаточно винды.
 
Собственно, автор в целом корректно оценивает эффективность перечисленных средств защиты. Ловить шпионов (инсайдеров) путем анализа их почтовой переписки, конечно не саймый эффективный способ. Доступ ограничивать (к портам и к информации) тоже конечно надо и конечно мандатная модель управления доступом здесь более эффективна, но и это нельзя считать эффективным решением проблемы.

Если действительно ставиться задача выявлять и останавливать инсайдеров, то необходимо действовать против них их же испытанным оружием, которым пользуются все спец службы, т.е. надо вести за ними постоянное наблюдения и подробно регистрировать все их действия (жучок в кармане пиджака, слежка, видеонаблюдение, скрытая камера и другие формы скрытного наблюдения). На рабочих местах и ноутбуках - специализированное шпионское ПО, перехватывающее не только все формы электронных взаимодействий, но и клавитурный набор и скриншоты (ежеминутно). Рано или поздно шпион себя проявит и вот тут надо документировать улики и дальше сделать все грамотно. Соответствующие технические и программные средства как известно имеются и с успехом применяются специалистами.
 
Цитата

Доступ ограничивать (к портам и к информации) тоже конечно надо и конечно мандатная модель управления доступом здесь более эффективна, но и это нельзя считать эффективным решением проблемы
Может лучше сказать "нельзя считать полным решением" ? Административные меры никто не отменял. А как технические меры по борьбе с утечкой и кражей предложенная схема вполне эффективна.

Цитата

т.е. надо вести за ними постоянное наблюдения и подробно регистрировать все их действия (жучок в кармане пиджака, слежка, видеонаблюдение, скрытая камера и другие формы скрытного наблюдения). На рабочих местах и ноутбуках - специализированное шпионское ПО, перехватывающее не только все формы электронных взаимодействий, но и клавитурный набор и скриншоты (ежеминутно).
А теперь представьте какой ресурс требуется для реализации этих мероприятий и для анализа полученной информации, особенно видео- и аудио-. Про законность (жучок в пиджак) вообще не говорю.
 
Цитата
Гость пишет:
А теперь представьте какой ресурс требуется для реализации этих мероприятий и для анализа полученной информации, особенно видео- и аудио-. Про законность (жучок в пиджак) вообще не говорю.

Затраты на безопасность и вообще и в данном случае должны быть адекватны величине риска. В корпоративной среде полный комплекс оперативно-розыскных мероприятий конечно редко будет применяться, а вот использование специализированного шпионского ПО обойдется дешевле любого из перечисленных в статье средств и даст значительно больший эффект (хотя также как и все остальное не является панацеей). Выслеживание и привлечение к ответственности шпионов - дело вполне законное, если соответствующие действия грамотно юридически оформлены.
 
Александр Астахов,
Ты просто изначально забыл сделать оговорку, что это никогда и не работает на тотальной основе - только целенаправленно: либо идут от конкретного субъекта (человека, вызывающего сомнения в благонадежности), либо от конкретного отбъекта (оберегаемого сведения), а иначе действительно надо быть И.В.Джугашвили, чтобы такое себе позволить.
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата

использование специализированного шпионского ПО обойдется дешевле любого из перечисленных в статье средств и даст значительно больший эффект (хотя также как и все остальное не является панацеей).
Шпионское ПО вообще для сформулированной задачи не применимо.
1. Шпионское ПО способно лишь сообщить о факте копирования данных. Что за данные (может не секретные) и кто их копировал (может ему можно) оно не говорит. Т.е. аналитик утонет в море ненужной информации.
2. Тот же недостаток, что и у методов с теневым копированием - когда событие анализируется данные уже давно ушли.
Это примерно как если вместо замков и часового на складе, нанять кучу сотрудников, которые будут проверять благонодежность всех окрестных жителей и ненадежных отселять.
 
Статья действительно интересная, только немного поверхностная и какая то рекламная.

Если действительно стоит задача  защиты от инсайдера то надо отталкиваться от каналов утечки и комплексного подхода.И непонятен масштаб компании 100 или 10 000 машин которые надо контролировать?



Ведь решение которое рассматриваеться основным, только протоколирует а не дает алерты т.е. если утечка произойдет то о ней узнают только потом(может быть).Утечки ведь делают то в основном те кому можно?
кстати кто ее админит. Защищает она от утечек через сисадминов?
Страницы: 1 2 3 След.
Читают тему